Jump to content
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 1

3.8.1 Интернет-фильтры. Не добавляются адреса DoH в "пользовательский профиль" и доступ к https://1.1.1.1/

project_fcc

Asked by project_fcc,

 Share

Question

project_fcc Content Generator

project_fcc

Posted
Posted

KN-2710. 3.8.1

1. Не добавляются  адреса DoH в "пользовательский профиль".

Т.е. создаем свой профиль, добавляем адрес DoH, сохраняем, веб "не ругается" и отображает добавленный адрес в профиле.

Обновляем страницу, DoH отсутствует.

В логе роутера: 

[E] Dec 27 19:46:27 ndm: Dns::Secure::ManagerDoh: invalid DNS-over-HTTPS format value: .

В cli получаем: 

(config)> dns-proxy filter profile my https upstream https://dns.google/dns-query
Dns::Secure::ManagerDoh error[22610220]: invalid DNS-over-HTTPS format value: .

Пробовал разные адреса DoH

В "системный профиль" этот же адрес добавляется нормально.

 

2. при включенном интернет-фильтре нет доступа к https://1.1.1.1/

Если режим фильтрации включен  и указан "Форсировать системный профиль DNS" или "Публичные DNS-резолверы и настраиваемые профили", то сайт https://1.1.1.1/  не открывается: "время ожидания истекло".

Пробовал оставлять в системном профиле только dns провайдера, также не открывается.

Если отключить режим фильтрации поставить "отключено", то сайт доступен.

  • Upvote 1

7 answers to this question

Recommended Posts

  • 0
НиколайLT Member

НиколайLT

Posted
Posted
4 часа назад, valeramalko сказал:

Т.е. создаем свой профиль, добавляем адрес DoH,

Обновляем страницу, DoH отсутствует.

+

 

4 часа назад, valeramalko сказал:

В "системный профиль" этот же адрес добавляется нормально.

+

  • 0
4c4127db756b4affbf2a2b3186 Newbie

4c4127db756b4affbf2a2b3186

Posted
Posted (edited)
On 12/27/2021 at 7:30 PM, valeramalko said:

2. при включенном интернет-фильтре нет доступа к https://1.1.1.1/

Это не 3.8.1 проблема. На 3.7.1 точно так же. Включённый тут /controlPanel/secureInternet в Service (в описании команд называют "профиль защиты") что-нибудь из предустановленных, кроме no protection, блокирует подключение к https://1.1.1.1/ .

Вписывание тех же DoT и/или DoH без профиля защиты (no protection) не мешает подключению.

Edited by deNoor
  • 0
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
В 27.12.2021 в 19:30, valeramalko сказал:

2. при включенном интернет-фильтре нет доступа к https://1.1.1.1/

Если режим фильтрации включен  и указан "Форсировать системный профиль DNS" или "Публичные DNS-резолверы и настраиваемые профили", то сайт https://1.1.1.1/  не открывается: "время ожидания истекло".

Пробовал оставлять в системном профиле только dns провайдера, также не открывается.

Если отключить режим фильтрации поставить "отключено", то сайт доступен.

Так и должно быть. Сделано для защиты от обхода фильтров через транзитный DoT и DoH.

Первый пункт проверим, спасибо.

  • 0
project_fcc Content Generator

project_fcc

Posted
  • Author
Posted
4 минуты назад, Le ecureuil сказал:

Так и должно быть. Сделано для защиты от обхода фильтров через транзитный DoT и DoH.

Тогда вопрос к размещению информации и ссылок в веб.

Для каждого сервиса идет краткое описание, данный текст содержит ссылку на страницу сервиса в Интернете.

Получается при включенном интернет-фильтре на страницу cloudflare dns не попасть.

descr.png

  • 0
snark Advanced Member

snark

Posted
Posted (edited)
40 минут назад, Le ecureuil сказал:

Так и должно быть. Сделано для защиты от обхода фильтров через транзитный DoT и DoH.

Первый пункт проверим, спасибо.

ИМХО, такое поведение должно быть настраиваемым. Опять же имхо, у меня на мобильных устройствах настроен DoT, какой смысл мне дропать свои же устройства. Ну и например, поставили роутер в кафе или гостишке, блокировать DoT/DoH и навязывать свой днс, это уже чуть-ли ни mitm

Edited by snark
  • Upvote 1
  • 0
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
Только что, snark сказал:

ИМХО, такое поведение должно быть настраиваемым. Опять же имхо, у меня но мобильных устройствах настроен DoT, какой смысл мне дропать свои же устройства. Ну и например, поставили роутер в кафе или гостишке, блокировать DoT/DoH и навязывать свой днс, это уже чуть-ли ни mitm

Этот MITM существовал всегда и он всегда является волей администратора устройства, который форсирует профили для хостов и интерфейсов.

Впрочем насчет отключения можете написать в поддержку, они запишут идею.

  • Upvote 3
  • 0
project_fcc Content Generator

project_fcc

Posted
  • Author
Posted

В 3.8.6 добавление в пользовательский профиль адресов DoH работает как через веб, так и через CLI. 

(config)> dns-proxy filter profile DnsProfile0 https upstream https://dns.quad9.net/dns-query
Dns::Filter::Public: Added DNS-over-HTTPS name server https://dns.quad9.net/dns-query to profile "DnsProfile0".

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.

  I accept